Virus System Fix ? [Résolu/Fermé]

Signaler
-
 Utilisateur anonyme -
Bonjour,

Je viens d'attraper le virus System Fix, je n'ai plus d'icones sur le bureau et des messages d'avertissement windows sur le disque dur apparaissent "delayed write failed". Je ne peux plus aller sur Internet puisque je n'ai pas accès au navigateur.
Je poste donc ce message de mon 2° ordinateur.

Est-ce que quelqu'un pourrait me guider pour supprimer ce virus ?

Je viens de télécharger ZHPDiag et RogueKiller, je les ai mis sur une clé USB mais y a t-il un risque de contaminer cette clé ??

Merci beaucoup pour votre aide !



62 réponses


salut

▶ Télécharge Reload_TDSSKiller

▶ Lance le

choisis : lancer le nettoyage

l'outil va automatiquement télécharger la derniere version puis

TDSSKiller va s'ouvrir , clique sur "Start Scan"

Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

▶ Copie/Colle son contenu dans ta prochaine réponse.

===========================

lance roguekiller option 2 , et 6

===========================

▶ Télécharge ici : USBFIX sur ton bureau

branche tous tes periphériques USB sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

▶ choisi l option Suppression

▶ UsbFix scannera ton pc , laisse travailler l outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

===============================

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

si le lien ne fonctionne pas :

http://www.archive-host.com

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
Merci beaucoup pour votre aide !
J'ai tout téléchargé sur une clé USB pour les installer sur l'ordinateur contaminé.
Y a-t-il un risque de contaminer mon portable lorsque je vais devoir vous poster les rapports via la clé USB ?

usbfix vaccinera ta clé au passage sur le pc malade , tu la laisseras branchée

utilise les outils dans l ordre :)
TDSSKiller n'a rien trouvé, normal ?
Je continue avec RogueKiller

c'etait en prevention pour tdsskiller car en general system Fix , est accompagné d'un rootkit traité par tdsskiller
Je vais te poster les rapports.

Mais, lors de l'exécution de Pre_Scan, il apparait un message d'erreur qui empêche l'établissement du rapport.
Le message est le suivant :
Line 19081 (File "C:\users\frederic\desktop\pre_scan.exe") : error : subscript used with non-array variable

ok poste deja les rapports que tu as
Tdsskiller : http://cjoint.com/?ALdl0dlcqeX

RogueKiller : http://cjoint.com/?ALdl2fnzBKD et http://cjoint.com/?ALdl2JT6rZ3

usbfix : http://cjoint.com/?ALdl1qbnpab

il manque roguekiller option 2
option 2 : http://cjoint.com/?ALdmgCX87RJ

une question :

ton antivirus est avast6 ?
J'ai avast 6 sur mon portable mais sur l'ordinateur malade, j'ai antivir version gratuite

pour pre_scan , le scan commence ou meme pas ?
Oui ça démarre, on a les multiples fenêtres qui clignotent et ensuite on a le messsage d'erreur

ok poste C:\Pre_scan.txt sur http://pjjoint.malekal.com et donne le lien obtenu
Voici le lien :
http://pjjoint.malekal.com/files.php?id=20111203_c11i9d13t12l10

ok

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>[u]Ne pas utiliser en dehors de ce cas de figure : dangereux<<<<<<<<
=====================================================


Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Combofix

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>><souligne>Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage
de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

!!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!


n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
ComboFix 11-12-03.01 - frederic 03/12/2011 13:42:08.1.4 - x64
Microsoft Windows 7 Édition Familiale Premium 6.1.7600.0.1252.33.1036.18.6071.4317 [GMT 1:00]
Lancé depuis: c:\users\frederic\Desktop\Frederic.exe
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\frederic\AppData\Roaming\completescan
c:\users\frederic\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\System Fix.lnk
c:\users\Public\Documents\Server\admin.txt
c:\users\Public\Documents\Server\server.dat
K:\Setup.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-11-03 au 2011-12-03 ))))))))))))))))))))))))))))))))))))
.
.
2011-12-03 12:46 . 2011-12-03 12:46 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-12-03 10:36 . 2011-12-03 10:42 -------- d-----w- C:\Kill'em
2011-12-03 10:21 . 2011-12-03 10:25 -------- d-----w- C:\UsbFix
2011-11-09 17:44 . 2011-10-01 05:28 886784 ----a-w- c:\program files\Common Files\System\wab32.dll
2011-11-09 17:44 . 2011-10-01 04:43 708608 ----a-w- c:\program files (x86)\Common Files\System\wab32.dll
2011-11-09 17:44 . 2011-09-29 16:24 1897328 ----a-w- c:\windows\system32\drivers\tcpip.sys
2011-11-09 17:44 . 2011-09-29 04:09 3141120 ----a-w- c:\windows\system32\win32k.sys
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-03 10:25 . 2011-12-03 10:24 1160605627 ----a-w- C:\UsbFix_Upload_Me_FREDERIC-PC.zip
2011-11-21 11:40 . 2011-12-02 18:11 8822856 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{7F7A6123-3805-4388-A30B-4125AB5DBC22}\mpengine.dll
2011-10-01 03:21 . 2011-10-14 21:41 1638912 ----a-w- c:\windows\system32\mshtml.tlb
2011-10-01 02:59 . 2011-10-14 21:41 1638912 ----a-w- c:\windows\SysWow64\mshtml.tlb
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"uTorrent"="c:\program files (x86)\uTorrent\uTorrent.exe" [2010-04-08 319792]
"TomTomHOME.exe"="c:\program files (x86)\TomTom HOME 2\TomTomHOMERunner.exe" [2009-11-13 247144]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\program files (x86)\hewlett-packard\HP odometer\hpsysdrv.exe" [2008-11-20 62768]
"HP Remote Solution"="c:\program files (x86)\Hewlett-Packard\HP Remote Solution\HP_Remote_Solution.exe" [2009-08-25 656896]
"IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2009-10-02 284696]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-12-01 98304]
"HP Software Update"="c:\program files (x86)\HP\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
"Easybits Recovery"="c:\program files (x86)\EasyBits For Kids\ezRecover.exe" [2009-09-02 60464]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"SSBkgdUpdate"="c:\program files (x86)\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"OpwareSE4"="c:\program files (x86)\ScanSoft\OmniPageSE4\OpwareSE4.exe" [2007-02-04 79400]
"MultiScreen"="c:\program files (x86)\MultiScreen\MultiScreen.exe" [2008-06-30 114688]
"CamserviceHD"="c:\program files (x86)\Hercules\Dualpix HD\XtrCtrl.exe" [2009-10-19 2999080]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-09-07 37296]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-04-08 254696]
"CANAL+ CANALSAT A LA DEMANDE"="c:\program files (x86)\Canal+\CANAL+ CANALSAT A LA DEMANDE\Launcher.exe" [2010-05-03 163992]
.
c:\users\frederic\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Game Alarm.lnk - c:\games\Game Alarm\gamealarm.exe [2010-3-23 19721728]
OpenOffice.org 3.2.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"EnablELUA"= 0 (0x0)
.
[hkey_local_machine\software\Wow6432Node\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
.
R3 AKDWC20ET;Hercules Dualpix HD Webcam;c:\windows\system32\Drivers\HDVidvx.sys [x]
R3 BBSvc;Bing Bar Update Service;c:\program files (x86)\Microsoft\BingBar\BBSvc.EXE [2011-07-07 195336]
R3 hxctlflt;hxctlflt;c:\windows\system32\DRIVERS\hxctlflt.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot64.sys [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-04-27 136360]
S2 BBUpdate;BBUpdate;c:\program files (x86)\Microsoft\BingBar\SeaPort.EXE [2011-06-15 249648]
S2 CanalPlus.VOD;CanalPlus.VOD;c:\program files (x86)\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe [2010-05-03 188416]
S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2009-07-14 27136]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2009-10-02 13336]
S2 TomTomHOMEService;TomTomHOMEService;c:\program files (x86)\TomTom HOME 2\TomTomHOMEService.exe [2009-11-13 92008]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - NATIVEWIFIP
*NewlyCreated* - NDISUIO
.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc
.
Contenu du dossier 'Tâches planifiées'
.
2011-11-28 c:\windows\Tasks\HPCeeScheduleForfrederic.job
- c:\program files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe [2009-10-07 03:22]
.
2011-10-31 c:\windows\Tasks\PCDRScheduledMaintenance.job
- c:\program files\PC-Doctor for Windows\pcdrcui.exe [2009-09-18 07:11]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2009-09-14 610360]
"PC-Doctor for Windows localizer"="c:\program files\PC-Doctor for Windows\localizer.exe" [2009-09-17 95728]
"CanonSolutionMenu"="c:\program files (x86)\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-14 644696]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1840720]
"CamserviceHD"="c:\program files (x86)\Hercules\Dualpix HD\XtrCtrl.exe" [2009-10-19 2999080]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uLocal Page = c:\windows\SysWOW64\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
TCP: DhcpNameServer = 212.27.40.241 212.27.40.240
FF - ProfilePath - c:\users\frederic\AppData\Roaming\Mozilla\Firefox\Profiles\htzd60o6.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
.
- - - - ORPHELINS SUPPRIMES - - - -
.
AddRemove-EasyBits Magic Desktop - c:\windows\system32\ezMDUninstall.exe
AddRemove-{B60DCA15-56A3-4D2D-8747-22CF7D7B588B} - c:\program files (x86)\InstallShield Installation Information\{B60DCA15-56A3-4D2D-8747-22CF7D7B588B}\setup.exe
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10c.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Common Files\LightScribe\LSSrvc.exe
c:\program files (x86)\OpenOffice.org 3\program\soffice.exe
c:\program files (x86)\OpenOffice.org 3\program\soffice.bin
c:\program files (x86)\Canal+\CANAL+ CANALSAT A LA DEMANDE\CANAL+ CANALSAT A LA DEMANDE.EXE
c:\program files (x86)\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe
.
**************************************************************************
.
Heure de fin: 2011-12-03 13:53:21 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-12-03 12:53
.
Avant-CF: 213 627 367 424 octets libres
Après-CF: 213 428 817 920 octets libres
.
- - End Of File - - 0A24DFA1A625612963526BB6912689E3


__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------


Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

ClearJavaCache::

RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt


Juste une question : faut-il que j'ouvre au préalable le fichier combofix.txt ? Car glisser une icône sur une autre, ça ne fonctionne pas !!
Je dois m'absenter cette après-midi, je reviens en fin de journée.
Bonne après-midi et encore merci !

precise ca ne fonctionne pas
lorsque j'essaie de mettre une icone sur l'autre, la première se met en dessous. Elles ne se mettent pas l'une sur l'autre, elles se déplacent pour se coller à côté

hello

c'est bien le cfscript.txt que tu deposes sur combofix ?
hello,

oui j'ai essayé de déposer CFScript.txt sur combofix.txt.

essaie en mettant combofix ailleurs que sur ton bureau
J'ai essayé en mettant combofix dans un dossier dans mes documents et c'est pareil, il ne se passe rien...

essaie en mode sans echec
pas moyen de démarre en mode sans échec.

Tout se passe bien jusqu'à ce que j'arrive sur la page où je dois entrer mon mot de passe et là l'ordi redémarre tout seul (si je mets mon mot de passe il me dit qu'il est faux et redémarre, et si je ne le tape pas tout de suite, il redémarre)

telecharge ici : Load_KidoKiller

Desactive tes protections

lance-le , clique sur lancer le nettoyage

l'outil va télécharger automatiquement la derniere version puis

le scan se lancera ensuite

à la fin Kido.txt se mettra sur ton bureau

▶ Copie le contenu dans ta réponse.
Nom de l'h"te: FREDERIC-PC
Nom du systSme d'exploitation: Microsoft Windowsÿ7 dition Familiale Premium
Version du systSme: 6.1.7600 N/A version 7600
Fabricant du systSme d'exploitation: Microsoft Corporation
Configuration du systSme d'exploitation: Station de travail autonome
Type de version du systSme d'exploitation: Multiprocessor Free
Propri'taire enregistr': frederic
Organisation enregistr'e:
Identificateur de produit: 00359-OEM-8992687-00010
Date d'installation originale: 21/03/2010, 13:15:19
Heure de d'marrage du systSme: 04/12/2011, 15:10:26
Fabricant du systSme: HP-Pavilion
ModSle du systSme: WC963AA-ABF p6355fr
Type du systSme: x64-based PC
Processeur(s): 1 processeur(s) install'(s).
[01]ÿ: Intel64 Family 6 Model 37 Stepping 2 GenuineIntel ~2933 MHz
Version du BIOS: American Megatrends Inc. 5.07, 21/12/2009
R'pertoire Windows: C:\Windows
R'pertoire systSme: C:\Windows\system32
P'riph'rique d'amor#age: \Device\HarddiskVolume1
Option r'gionale du systSme: fr;Fran#ais (France)
ParamStres r'gionaux d'entr'e: fr;Fran#ais (France)
Fuseau horaire: (UTC+01:00) Bruxelles, Copenhague, Madrid, Paris
M'moire physique totale: 6ÿ071 Mo
M'moire physique disponible: 4ÿ630 Mo
M'moire virtuelleÿ: taille maximale: 12ÿ140 Mo
M'moire virtuelleÿ: disponible: 10ÿ460 Mo
M'moire virtuelleÿ: en cours d'utilisation: 1ÿ680 Mo
Emplacements des fichiers d''change: C:\pagefile.sys
Domaine: WORKGROUP
Serveur d'ouverture de session: \\FREDERIC-PC
Correctif(s): 134 Corrections install'es.
[01]: KB971033
[02]: KB2032276
[03]: KB2079403
[04]: KB2158563
[05]: KB2160329
[06]: KB2183461
[07]: KB2207566
[08]: KB2281679
[09]: KB2286198
[10]: KB2296011
[11]: KB2296199
[12]: KB2305420
[13]: KB2345886
[14]: KB2347290
[15]: KB2360131
[16]: KB2378111
[17]: KB2385678
[18]: KB2387149
[19]: KB2393802
[20]: KB2398632
[21]: KB2416400
[22]: KB2416471
[23]: KB2419640
[24]: KB2423089
[25]: KB2425227
[26]: KB2436673
[27]: KB2442962
[28]: KB2443685
[29]: KB2446709
[30]: KB2467659
[31]: KB2475792
[32]: KB2476490
[33]: KB2478661
[34]: KB2479628
[35]: KB2479943
[36]: KB2482017
[37]: KB2483614
[38]: KB2485376
[39]: KB2491683
[40]: KB2497640
[41]: KB2503658
[42]: KB2503665
[43]: KB2506014
[44]: KB2506212
[45]: KB2506223
[46]: KB2507618
[47]: KB2507938
[48]: KB2508272
[49]: KB2508429
[50]: KB2509553
[51]: KB2510531
[52]: KB2511455
[53]: KB2518867
[54]: KB2524375
[55]: KB2525694
[56]: KB2530548
[57]: KB2532531
[58]: KB2533552
[59]: KB2534366
[60]: KB2535512
[61]: KB2536275
[62]: KB2536276
[63]: KB2539634
[64]: KB2544521
[65]: KB2544893
[66]: KB2552343
[67]: KB2555917
[68]: KB2556532
[69]: KB2559049
[70]: KB2560656
[71]: KB2562937
[72]: KB2563894
[73]: KB2564958
[74]: KB2567053
[75]: KB2567680
[76]: KB2570791
[77]: KB2570947
[78]: KB2572076
[79]: KB2579686
[80]: KB2586448
[81]: KB2588516
[82]: KB2607712
[83]: KB2616676
[84]: KB2617657
[85]: KB2620704
[86]: KB2641690
[87]: KB958488
[88]: KB971468
[89]: KB972270
[90]: KB973525
[91]: KB974332
[92]: KB974431
[93]: KB974455
[94]: KB974571
[95]: KB975364
[96]: KB975467
[97]: KB975560
[98]: KB975741
[99]: KB976002
[100]: KB976662
[101]: KB976749
[102]: KB976902
[103]: KB977074
[104]: KB978207
[105]: KB978251
[106]: KB978262
[107]: KB978542
[108]: KB978601
[109]: KB978886
[110]: KB979306
[111]: KB979309
[112]: KB979482
[113]: KB979559
[114]: KB979683
[115]: KB979687
[116]: KB979688
[117]: KB979900
[118]: KB979916
[119]: KB980182
[120]: KB980195
[121]: KB980218
[122]: KB980232
[123]: KB980408
[124]: KB980436
[125]: KB981332
[126]: KB981793
[127]: KB981852
[128]: KB981957
[129]: KB982132
[130]: KB982214
[131]: KB982381
[132]: KB982665
[133]: KB982799
[134]: KB983590
Carte(s) r'seau: 1 carte(s) r'seau install'e(s).
[01]: Realtek PCIe GBE Family Controller
Nom de la connexionÿ: Connexion au r'seau local
tatÿ: Support d'connect'
scanning jobs ...

scanning processes ...

scanning threads ...

scanning modules in svchost.exe...
scanning modules in services.exe...
scanning modules in explorer.exe...

restoring show hidden and system files

restoring SafeBoot registry node

scanning C:\Windows\system32 ...
scanning C:\Program Files (x86)\Internet Explorer\ ...
scanning C:\Program Files (x86)\Movie Maker\ ...
scanning C:\Program Files (x86)\Windows Media Player\ ...
scanning C:\Program Files (x86)\Windows NT\ ...
scanning C:\Users\frederic\AppData\Roaming ...
scanning C:\Users\frederic\AppData\Local\Temp\ ...
scanning C:\ ...
scanning D:\ ...
scanning F:\ ...
scanning G:\ ...
scanning H:\ ...
scanning I:\ ...
scanning J:\ ...
scanning K:\ ...

completed
Infected jobs: 0
Infected files: 0
Infected threads: 0
Splices functions: 0
Cured files: 0
Fixed registry keys: 0

le mode sans echec est operationnel pourtant